Why Cybersecurity Is a Business Problem: Insights from a World-Class CISO.

Dr Eric Cole

18 May 202329:32

Summary

TLDREn este episodio de *Life of a CISO*, Dr. Eric Cole destaca que la ciberseguridad es un problema empresarial, no solo técnico. A través de la gestión de riesgos, los CISOs deben comunicarse regularmente con los ejecutivos para mantenerlos informados sobre las amenazas y vulnerabilidades en constante cambio. En lugar de centrarse únicamente en soluciones técnicas como firewalls, los CISOs deben tratar la ciberseguridad como una función dinámica del negocio, con presupuestos flexibles y una comunicación constante para asegurar que la organización esté preparada ante cualquier eventualidad.

Takeaways

😀 La ciberseguridad no es un problema técnico, es un problema de negocio. No se soluciona solo comprando firewalls, IDS o IPS.
😀 La ciberseguridad debe ser vista como una función empresarial que involucra la gestión de riesgos, no solo como un conjunto de herramientas técnicas.
😀 Los CISOs deben aprender a comunicar regularmente con los ejecutivos, más allá de las reuniones formales. Las conversaciones informales son clave para el éxito.
😀 Los riesgos cibernéticos cambian constantemente, al igual que el clima. Los CISOs deben actuar como meteorólogos, informando a los ejecutivos sobre las amenazas y vulnerabilidades emergentes.
😀 Si no se comunica el riesgo de manera efectiva, las decisiones sobre presupuesto y acción pueden ser inadecuadas o tardías, lo que puede afectar la seguridad de la organización.
😀 Las conversaciones regulares con los ejecutivos sobre amenazas y vulnerabilidades permiten tomar decisiones informadas y oportunas sobre la gestión de riesgos.
😀 La ciberseguridad no se trata solo de proteger los sistemas tecnológicos; se trata de proteger los datos críticos y la operación general de la empresa.
😀 Los CISOs deben ir más allá de los problemas técnicos y centrarse en los impactos comerciales de los riesgos de ciberseguridad.
😀 Los CISO deben estar dispuestos a desafiar las creencias limitantes, como la idea de que los ejecutivos no se interesan por la ciberseguridad, y deben tomar la iniciativa en las conversaciones.
😀 La comunicación efectiva con los ejecutivos debe estar respaldada por datos claros y comprensibles, que demuestren el valor de las inversiones en ciberseguridad y la gestión del riesgo.

Q & A

¿Por qué la ciberseguridad no se puede considerar un problema técnico?
-La ciberseguridad no es un problema técnico porque no se resuelve solo comprando herramientas como firewalls, IDS o IPS. Es un problema de negocio, ya que involucra la gestión de riesgos y la protección de datos críticos en toda la organización.
¿Cuál es la diferencia clave entre un CISO y un CIO en términos de responsabilidad?
-El CISO se centra en la gestión de riesgos y la protección de la información, mientras que el CIO se ocupa de la infraestructura tecnológica y la disponibilidad de los sistemas. Aunque ambos roles pueden ser técnicos, la ciberseguridad involucra una dimensión más estratégica y relacionada con el negocio.
¿Qué analogía utiliza el presentador para explicar la ciberseguridad a los ejecutivos?
-El presentador compara la ciberseguridad con un pronóstico meteorológico. Al igual que un meteorólogo prevé el clima, un CISO debe estar al tanto de las amenazas y vulnerabilidades, comunicando los riesgos a los ejecutivos con regularidad.
¿Por qué es importante que un CISO se comunique regularmente con el CEO y otros ejecutivos?
-Es importante porque la ciberseguridad es un tema de negocio que afecta a toda la organización. Una comunicación constante asegura que los ejecutivos comprendan los riesgos, tomen decisiones informadas y asignen los recursos necesarios para proteger los datos críticos.
¿Qué debe hacer un CISO para superar la barrera de la comunicación con los ejecutivos?
-El CISO debe comenzar a tener conversaciones informales y regulares con el CEO, como tomar un café o almorzar juntos. Esto ayuda a construir una relación de confianza y permite que el CISO mantenga a los ejecutivos al tanto de los riesgos emergentes.
¿Qué papel juegan las creencias limitantes en la falta de comunicación de los CISOs con los ejecutivos?
-Las creencias limitantes, como la idea de que los ejecutivos no están interesados en la tecnología, pueden obstaculizar la comunicación. El CISO debe cuestionar estas creencias y darse cuenta de que los ejecutivos valoran las actualizaciones regulares sobre los riesgos, ya que afectan el negocio.
¿Qué es lo que se necesita para tener una relación efectiva entre un CISO y un CEO?
-Una relación efectiva requiere comunicación continua, no solo en reuniones formales, sino también en conversaciones informales. Esto permite que ambos entiendan sus respectivos roles y trabajen juntos para mitigar los riesgos para la organización.
¿Cómo se calcula el riesgo en ciberseguridad según el presentador?
-El riesgo se calcula como la multiplicación de las amenazas (probabilidad de que algo suceda) por las vulnerabilidades (debilidades en el sistema). Este enfoque permite evaluar y mitigar los riesgos a medida que cambian las amenazas y las vulnerabilidades.
¿Cuál es la importancia de comunicar el riesgo en términos comerciales y no técnicos?
-Comunicar el riesgo en términos comerciales es crucial para que los ejecutivos comprendan la importancia de las medidas de ciberseguridad y tomen decisiones informadas sobre la asignación de recursos. Si se usan solo términos técnicos, los ejecutivos pueden no entender la gravedad de la situación.
¿Por qué el presupuesto de ciberseguridad no puede ser fijo?
-El presupuesto de ciberseguridad no puede ser fijo porque los riesgos cambian constantemente debido a nuevas amenazas y vulnerabilidades. Un CISO necesita una cierta flexibilidad presupuestaria para responder a estos cambios de manera efectiva y proteger los activos de la organización.